Program Windows Genuine Advantage vzbudil nedávno opět pozdvižení tím, že se jedna z jeho komponent, která je zodpovědná za zobrazování upozornění o nelegálních Windows, připojovala pravidelně po každém restartu na servery Microsoftu. Po bouři nevole Microsoft změnil nastavení a připojování již není tak časté. Svou pověst si také hodlá Microsoft poněkud "vyžehlit" zveřejněním svých praktik, které se týkají soukromí uživatelů.
Windows Genuine Advantage
Uživatelům Windows je program Windows Genuine Advantage (WGA) již nějakou dobu dobře znám a kampaň "Výhody legálních Windows" byla nepřehlédnutelná. WGA má sloužit především v boji proti pirátství, uživatelé legálních Windows mají po ověření pravosti svého systému možnost stahovat některé "nadstandardní" aplikace, zatímco ostatním zůstal přístup jen ke kritickým záplatám. Ne každý také používá nelegální verzi Windows vědomě, nezkušený uživatel si může pořídit ilegální verzi i v dobré víře, že se jedná o originál (padělek může vypadat velmi přesvědčivě včetně krabice a instalačních médií) a zaplatí za něj nemalou sumu.
Kromě samotného Ověřování (validation), které slouží právě při přístupu ke službě Windows Update, má celý systém ještě druhou komponentu, tzv. WGA Upozornění (notification). Právě tato komponenta po předchozím ověření upozorňuje uživatele na nelegálnost jejich Windows.
Upozornění na nelegálnost Windows
Co se vlastně Microsoftu prostřednictvím ověřovacího nástroje odesílá? Jedná se o informace o výrobci počítače, verzi operačního systému, informace o BIOSu, jazyk systému a místní nastavení a především produktový klíč (product key), který je jednou z nejdůležitějších informací pro proces validace. Jak tvrdí sám Microsoft, žádná z těchto informací není považována za osobní informaci a nelze podle nich identifikovat jednotlivé uživatele. Tyto údaje jsou odeslány jen jednou, při prvním WGA ověření. Jenže jak se před časem zjistilo a bylo potvrzeno Microsoftem, WGA kontaktuje servery Microsoftu po každém restartu počítače.
WGA Upozornění na dálku řízené
Za tato "volání domů" je zodpovědná komponenta pro WGA Upozornění a po každém restartu tak (po úspěšném úvodním ověření) nedochází k opětovnému odesílání informací. Upozorňovací komponenta si "pouze" zjišťuje aktuální nastavení a zda se má či nemá spustit. Microsoft tak může velmi snadno na dálku celý mechanismus vypnout či měnit jeho nastavení.
Toto každodenní kontaktování serverů Microsoftu samozřejmě nemohlo zůstat nepovšimnuto a uživatelům se nelíbí. Až do začátku června navíc o ničem podobném (pravidelném kontaktování serveru) Microsoft zákazníky neinformoval. Druhý týden v červnu se po vlně nevole Microsoft rozhodl přehodnotit tento systém a změnit interval ověřování na 14 dní. Pravidelné kontaktování serverů pak má být údajně úplně zastaveno, jakmile se program WGA Upozornění stane celosvětovou záležitostí později během tohoto roku.
Spyware?
Mnohými odborníky je přesto WGA Upozornění považováno za spyware a kupříkladu společnost Firewall Leak Tester dokonce aktivně proti WGA vystoupila. Firma se zabývá testováním kvality firewallů a rozhodla se zveřejnit speciální utilitu, která WGA Upozornění zablokuje.
Utilita pozná aktivní WGA Upozornění a nabídne jeho zablokování
Ovšem pozor, nejedná se pochopitelně o žádný "crack", který má zlegalizovat Windows. Program slouží pouze k tomu, že po úvodním korektním ověření legálnosti Windows již nedochází k pravidelnému kontaktování serverů Microsoftu komponentou WGA Upozornění. Dle autorů utility není po úvodním ověření pravosti žádný důvod k pravidelnému (ať již dennímu či čtrnáctidennímu) kontaktování serverů Microsoftu a WGA může být dokonce bezpečnostním rizikem. Validační část WGA není touto utilitou nijak omezena, neboť se jedná již nějakou dobu a povinnou součást, bez které nelze získat některé aktualizace. Upozorňovací část však povinná není a tak se autoři domnívají, že zveřejněním této utility se ničeho nedopouštějí.
Microsoft zveřejní svá "pravidla o soukromí"
Na konci minulého týdne Microsoft oznámil poměrně pozitivní věc. Během srpna hodlá zveřejnit "pravidla o soukromí", kterými se musí zaměstnanci (programátoři) řídit během vývoje aplikace. Mezi kontroverzní aplikace patří právě i WGA a zejména takových programů se pravidla týkají, i když nedávné spory o WGA Upozornění a jeho pravidelné spojení s Microsoftem zřejmě nejsou jediným důvodem k tomuto kroku.
Zveřejněním svých interních pravidel o soukromí chce Microsoft dát příklad ostatním vývojářům a ukázat, co považuje za nejlepší praxi v oblasti soukromí svých zákazníků. To prohlásil Peter Cullen, chief privacy strategist u Microsoftu a dodal, že nejen že Microsoft svou strategii a postupy zveřejní, ale bude také jejich používání aktivně propagovat, aby i ostatní vývojáři mohli získat z toho, co se Microsoft v této oblasti naučil.
Dokument by měl být jakýmsi průvodcem, jak správně informovat uživatele programů, které například z nějakého důvodu odesílají informace přes Internet svému tvůrci. Microsoft se domnívá, že je první velkou softwarovou společností, která podobný dokument zveřejní. Zatímco pro ostatní vývojáře bude tento dokument určitou nápovědou, jak by to "mělo být" (z pohledu Microsoftu), pro zaměstnance Microsoftu jsou to povinná pravidla.
Jak prohlásil Cullen, Microsoft používá jednotnou "privacy policy", takže je platná ve všech zemích, tedy i v těch, kde je jen velmi malá či žádná ochrana soukromí.
Microsoft se tak snaží očistit svou poněkud pošramocenou pověst, která utrpěla právě i posledním případem s WGA Upozorněním, za který si již veřejně "nasypal popel na hlavu". Jak prohlásil Cullen, Microsoft hodlá být tak transparentní, jak to jen půjde.
Doufejme, že podobné předsevzetí bude skutečně naplněno a bezpečnostní otázky se tak stanou věcí veřejnou. Uživatelé jsou samozřejmě velmi citliví na to, co jejich počítač odesílá do Internetu (obzvlášť ve spojení s Microsoftem), což je pochopitelné. Navíc pokud se tak děje bez jejich vědomí. Microsoft získal v těchto ohledech bohužel velmi špatnou pověst a to navíc zcela zbytečně jen díky nepovedené komunikaci s uživateli. Uvidíme, co ukáže v tomto ohledu budoucnost.
Zdroje: Microsoft, Microsoft Watch, Firewall Leak Tester, ZDNet
